匯出信箱稽核記錄檔

 

上次修改主題的時間: 2011-11-23

如果信箱已啟用信箱稽核,每當擁有者以外的使用者存取信箱時,Microsoft Exchange 就會在「信箱稽核記錄檔」中記錄相關資訊。每個記錄項目都包括下列相關資訊:存取信箱的人員和時間、非擁有者所執行的動作,以及動作是否成功完成。信箱稽核記錄檔預設會保留在信箱中 90 天。您可以使用信箱稽核記錄檔來判斷是否擁有者以外的使用者存取了信箱。

當您從信箱稽核記錄檔中匯出項目時,Microsoft Exchange 會將這些項目儲存在 XML 檔案中,然後附加到傳送至指定收件者的電子郵件。

本主題將說明下列事項:

設定信箱稽核記錄

您必須針對想要稽核的每一個信箱啟用信箱稽核記錄,然後才可以匯出及檢視信箱稽核記錄檔。您也必須設定 Outlook Web App 允許 XML 附件。

啟用信箱稽核記錄

您必須針對想要執行非擁有者信箱存取報告的每個信箱啟用信箱稽核記錄。如果未針對信箱啟用信箱稽核記錄,當您匯出信箱稽核記錄檔時,就不會得到任何結果。

若要針對單一信箱啟用信箱稽核記錄,請執行下列 PowerShell 命令:

Set-Mailbox <Identity> -AuditEnabled $true

若要針對組織內的所有使用者信箱啟用信箱稽核,請執行下列命令:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
設定 Outlook Web App 允許 XML 附件

當您匯出信箱稽核記錄檔時,Microsoft Exchange 會將稽核記錄檔 (也就是 XML 檔案) 附加到電子郵件。但是,Outlook Web App 預設會封鎖 XML 附件。您必須設定 Outlook Web App 允許 XML 附件,好讓您可以存取匯出的稽核記錄檔。

執行下列命令,允許 Outlook Web App 中的 XML 附件:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
匯出信箱稽核記錄檔

  1. 選取 [管理我的組織] > [角色和稽核] > [稽核]。

  2. 按一下 [匯出信箱稽核記錄]。

  3. 設定下列搜尋準則,匯出信箱稽核記錄檔中的項目:

    • 開始和結束日期:選取要併入匯出檔案中之項目的日期範圍。

    • 要搜尋稽核記錄檔的信箱:選取要擷取稽核記錄檔項目的信箱。

    • 非擁有者存取的類型:選取下列其中一個選項來定義要擷取項目的非擁有者存取類型:

      • 所有非擁有者:搜尋組織內的系統管理員和委派的使用者以及 Microsoft 資料中心系統管理員的存取。

      • 外部使用者:搜尋 Microsoft 資料中心系統管理員的存取。

      • 系統管理員和委派的使用者:搜尋組織內的系統管理員和委派的使用者的存取。

      • 系統管理員:搜尋組織內系統管理員的存取。

    • 收件者:選取要將信箱稽核記錄檔傳送給哪些使用者。

  4. 按一下 [匯出]。

    Microsoft Exchange 會擷取信箱稽核記錄檔中符合您搜尋準則的項目,並將這些項目儲存在名為 SearchResult.xml 的檔案中,然後在送給指定之收件者的電子郵件中附加這個 XML 檔案。

  5. 按一下 [匯出]。

    Microsoft Exchange 會擷取系統管理員稽核記錄檔中符合您搜尋準則的項目,並將這些項目儲存在名為 SearchResult.xml 的檔案中,然後在送給指定之收件者的電子郵件中附加這個 XML 檔案。

注意:若要在 Exchange 控制台中的 [稽核報告] 索引標籤上存取和執行任何報告,使用者必須獲得指派必要的權限。如需詳細資訊,請參閱在 Exchange Online 中使用稽核報告的<讓使用者能夠存取稽核報告>一節。

檢視信箱稽核記錄檔

若要開啟或儲存 SearchResult.xml 檔案:

  1. 登入已傳送信箱稽核記錄檔的信箱。

  2. 在收件匣中,開啟含有 Microsoft Exchange 傳送之 XML 檔案附件的郵件。請注意,電子郵件的內文包含了搜尋準則。

  3. 按一下附件並選取它,即可開啟或儲存此 XML 檔案。

信箱稽核記錄檔中的項目

下列範例會顯示 SearchResult.xml 檔案所包含之信箱稽核記錄檔中的項目。每一個項目的前面都有 <Event> XML 標記並以 </Event> XML 標記結束。這個項目顯示,系統管理員在 2010 年 4 月 30 日,從 tamaraj 信箱的 [可復原的項目] 資料夾中清除了主旨為 "Notification of litigation hold" 的郵件。

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
信箱稽核記錄檔中的實用欄位

請注意這些欄位,這些欄位可幫助您辨識非擁有者存取信箱之每一個例項的相關特定資訊。

 

欄位 描述

Owner

非擁有者存取之信箱的擁有者。

LastAccessed

存取信箱的日期和時間。

Operation

非擁有者執行的動作。如需詳細資訊,請參閱執行非擁有者信箱存取報告中的<哪些內容會記錄在信箱稽核記錄檔中?>一節。

OperationResult

非擁有者執行的動作成功還是失敗。

LogonType

非擁有者的存取類型。其中包括系統管理員、代理人和外部人員。

FolderPathName

資料夾的名稱,其中包含受到非擁有者所影響的郵件。

ClientInfoString

有關非擁有者存取信箱所使用之郵件用戶端的資訊。

ClientIPAddress

非擁有者存取信箱所使用之電腦的 IP 位址。

InternalLogonType

非擁有者存取這個信箱所使用之帳戶的登入類型。

MailboxOwnerUPN

信箱擁有者的電子郵件地址。

LogonUserDN

非擁有者的顯示名稱。

Subject

受到非擁有者所影響之電子郵件的主旨行。

 
相關說明主題
正在載入…
找不到資源。